尝试调试nsis程序（调试子进程）

任务：尝试调试nsis程序（调试子进程）

问题：OD加载后下断点，无法断下程序。

思路：怀疑是生成了子进程，下断点验证，确实生成了子进程。

结论：nsis生成的exe在运行后先检查自身是否在C:\Users\admin\AppData\Local\Temp\下也就是常说的temp目录下，若在，检查命令行参数，若没有，会有Error launching installer的错误。反之，会将自身复制到Temp里面，用CreateProcess方式拉起它。这个过程要传入参数_?=当前exe路径，拉起子进程后结束自身。将Temp目录下的exe复制出来运行会重复拉起子进程的过程，这样变回一个死循环。于是只能在Temp目录下执行该exe。

开工：OD载入Temp下面的exe，以传参方式打开EXE。尝试下窗口创建断点，跑程序~

成功截获到动态生成的控件了。后面就方便各种调试了~

与ini中的坐标是不一样的，他们的单位应该是不同的（后面再去分析）

[Field 2]

Type=Button

Flags=NOTIFY

Text="返回原有版本"

Left=50

Right=140

Top=30

Bottom=50

后继，nsis生成的程序为什么一定要到Temp里面执行呢？因为它支持自删除，既删除自身（安装包或者卸载包），而运行时候的程序是无法被删除的，所以启用了这个方法。end~